Vì sao North Korea liên tục đánh cắp hàng tỷ USD tiền mã hóa — một cách công khai
Khi các chiến thuật xâm nhập của Triều Tiên ngày càng tinh vi, các chuyên gia an ninh cho rằng ngành crypto cần hiểu điều gì khiến chế độ này khác biệt so với mọi nhóm hacker được nhà nước hậu thuẫn khác — và vì sao sự khác biệt đó khiến họ trở thành một mối đe dọa nguy hiểm đối với toàn bộ hệ sinh thái.
Ngày 12/04/2026, 10:00 AM
Chiến dịch xâm nhập kéo dài sáu tháng của North Korea vào Drift đã khiến ngành crypto vốn đã chao đảo vì các vụ khai thác hàng tỷ USD càng thêm lo ngại.
Nhưng khi thông tin dần lắng xuống, một câu hỏi lớn hơn xuất hiện: vì sao Triều Tiên liên tục quay lại với crypto, và tại sao cách tiếp cận của họ lại khác biệt so với mọi hoạt động hack được nhà nước hậu thuẫn khác trên thế giới?
Câu trả lời ngắn gọn, theo các chuyên gia an ninh, là crypto mang lại cho chế độ này một nguồn doanh thu và giúp họ duy trì hoạt động.
“Triều Tiên không có sự xa xỉ của việc chờ đợi,” Dave Schwed, COO của SVRN và là người sáng lập chương trình thạc sĩ an ninh mạng tại Đại học Yeshiva, cho biết. “Họ đang chịu các lệnh trừng phạt toàn diện quốc tế và cần ngoại tệ mạnh để tài trợ cho các chương trình vũ khí. Liên Hợp Quốc và nhiều cơ quan tình báo đã xác nhận rằng việc đánh cắp crypto là một cơ chế tài trợ chính cho chương trình hạt nhân và tên lửa đạn đạo của họ.”
Sự cấp bách này giải thích một hiện tượng khiến các nhà điều tra bối rối từ lâu: tại sao hacker Triều Tiên lại thực hiện các vụ đánh cắp quy mô lớn, dễ truy vết trên blockchain công khai thay vì âm thầm sử dụng crypto để né tránh lệnh trừng phạt như các quốc gia khác.
Theo Schwed, câu trả lời nằm ở cấu trúc nền kinh tế. Nga vẫn có nền kinh tế: dầu, khí đốt, xuất khẩu hàng hóa và các đối tác thương mại sẵn sàng sử dụng các phương thức thay thế. Họ cần crypto như một kênh thanh toán, nhưng không phụ thuộc hoàn toàn. Iran cũng vậy, vẫn có hàng hóa để giao dịch — dầu bị trừng phạt, mạng lưới tài trợ ủy nhiệm và các trung gian trong khu vực Trung Đông. Trong khi đó, Triều Tiên gần như không còn gì để bán.
“Xuất khẩu của họ gần như bị trừng phạt hoàn toàn. Họ không có một nền kinh tế vận hành cần kênh thanh toán. Họ cần doanh thu trực tiếp,” Schwed nói. “Việc đánh cắp crypto mang lại cho họ khả năng tiếp cận ngay lập tức với giá trị thanh khoản trên toàn cầu mà không cần một đối tác sẵn sàng giao dịch với họ.”
Sự khác biệt này — crypto như hạ tầng so với crypto như mục tiêu — chính là điều khiến Triều Tiên khác biệt không chỉ với Nga mà còn với Iran. Trong khi Nga sử dụng crypto để luân chuyển tiền nhằm né lệnh trừng phạt, và Iran dùng nó để tài trợ các mạng lưới trong khu vực, thì Triều Tiên đang vận hành một mô hình gần giống như một “chiến dịch cướp có tổ chức cấp quốc gia.”
“Mục tiêu của họ là các sàn giao dịch, nhà cung cấp ví, các giao thức DeFi và những cá nhân kỹ sư hoặc nhà sáng lập có quyền ký hoặc quyền truy cập hạ tầng,” Alexander Urbelis, giám đốc an ninh thông tin tại ENS Labs và giáo sư an ninh mạng tại King’s College London, cho biết. “Nạn nhân là bất kỳ ai nắm giữ khóa hoặc quyền truy cập vào hạ tầng chứa các khóa đó.”
Ngược lại, Nga và Iran coi crypto chỉ là công cụ phụ trợ, phục vụ cho các mục tiêu địa chính trị rộng lớn hơn.
“Russia nhắm vào bầu cử, hạ tầng năng lượng và hệ thống chính phủ. Iran nhắm vào những người bất đồng chính kiến và các đối thủ trong khu vực,” Urbelis nói. “Khi họ sử dụng crypto, mục đích là để luân chuyển tiền, không phải để đánh cắp từ hệ sinh thái.”
Sự tập trung đơn nhất này đã khiến các tác nhân Triều Tiên áp dụng những chiến thuật thường thấy ở các cơ quan tình báo hơn là hacker tội phạm: xây dựng mối quan hệ trong nhiều tháng, tạo danh tính giả và xâm nhập chuỗi cung ứng.
Chiến dịch Drift chỉ là ví dụ mới nhất.
“Bạn không chỉ đang phòng thủ trước một email phishing từ một kẻ lừa đảo ngẫu nhiên,” Urbelis nói. “Bạn đang đối mặt với một người đã dành sáu tháng xây dựng mối quan hệ chỉ để xâm nhập một cá nhân có quyền truy cập mà bạn cần bảo vệ.”
Chính cấu trúc của crypto khiến nó trở thành “miền săn mồi” hấp dẫn. Trong tài chính truyền thống, ngay cả các vụ hack thành công vẫn gặp ma sát như kiểm tra tuân thủ, kiểm tra ngân hàng đại lý, độ trễ thanh toán và khả năng đảo ngược giao dịch gian lận. Khi hacker Triều Tiên thực hiện vụ cướp Ngân hàng Bangladesh năm 2016, giao dịch mất nhiều ngày để xử lý và phần lớn số tiền đã bị thu hồi hoặc chặn lại. Trong crypto, những lớp bảo vệ này gần như không tồn tại ở cấp độ giao thức.
“Một khi giao dịch được ký và xác nhận, nó là cuối cùng,” Urbelis nói. Vụ hack Bybit năm ngoái đã chuyển 1,5 tỷ USD chỉ trong khoảng 30 phút — tốc độ và quy mô gần như không thể xảy ra trong hệ thống ngân hàng truyền thống.
Tính “không thể đảo ngược” này thay đổi hoàn toàn bài toán bảo mật. Trong ngân hàng, hệ thống phòng thủ có thể được xây dựng dựa trên phòng ngừa, phát hiện và phản ứng, vì luôn có thời gian để đóng băng hoặc hoàn tác giao dịch. Trong crypto, khoảng thời gian đó gần như không tồn tại, đồng nghĩa với việc ngăn chặn từ trước không chỉ là lựa chọn tốt hơn — mà gần như là lựa chọn duy nhất.
Trong khi các ngân hàng hoạt động dưới sự hướng dẫn và kiểm toán kéo dài hàng thập kỷ, nhiều dự án crypto vẫn đang “vừa làm vừa thử,” thường ưu tiên tốc độ và đổi mới hơn là quản trị và kiểm soát.
Khoảng trống này tạo ra môi trường mà ngay cả những đội ngũ tinh vi cũng có thể dễ bị tổn thương, đặc biệt trước các chiến thuật xâm nhập dài hạn mà Triều Tiên đã liên tục hoàn thiện.
“Đây là bài toán an ninh vận hành khó nhất trong crypto hiện nay,” Urbelis nói về thách thức trong việc xác minh danh tính giả tinh vi và các bên trung gian thứ ba. “Tôi không nghĩ ngành này đã giải quyết được.”
Đọc thêm: How North Korea’s 6-month long secret espionage program has crypto community rethinking security
Hầu hết các mô hình quyền riêng tư trong crypto suy yếu khi dữ liệu blockchain ngày càng mở rộng. Ngược lại, các mô hình dựa trên mã hóa như Zcash lại trở nên mạnh hơn. CoinDesk Research đã lập bản đồ 5 phương pháp bảo mật và phân tích khoảng cách ngày càng gia tăng giữa chúng.
Vì sao điều này quan trọng:
Khi mức độ áp dụng blockchain tăng lên, lượng metadata khả dụng cho các mô hình machine learning cũng tăng theo. Do đó, các phương pháp bảo mật dựa trên việc che giấu (obfuscation) đang suy giảm về mặt cấu trúc. Báo cáo này cung cấp một so sánh toàn diện về 5 kiến trúc quyền riêng tư chính trong crypto, đồng thời đưa ra khung đánh giá để xác định mô hình nào vẫn duy trì được độ bền vững khi năng lực AI ngày càng cải thiện.
(Đọc chi tiết tại đây)
Đề xuất này sẽ chuyển hoạt động xây dựng block ra khỏi các validator riêng lẻ, tạo một thực thể doanh thu mang tên FIRE để mua và đốt token FLR, đồng thời giảm lạm phát token hàng năm xuống còn 3%.
Điểm chính cần biết:
- Flare đề xuất cải tổ cơ chế quản trị nhằm thu giữ tối đa MEV (maximal extractable value) ở cấp độ giao thức và chuyển hướng giá trị này từ các searcher và builder bên ngoài về chính mạng lưới.
- Kế hoạch bao gồm thiết kế lại quy trình xây dựng block theo ba giai đoạn và giới thiệu một thực thể mới có tên Flare Income Reinvestment Entity (FIRE) để điều phối MEV và các nguồn doanh thu khác của giao thức.
(Đọc chi tiết tại đây)
